防火墙是一种网络安全设备,它根据预定义的安全规则监控和调整网络流量。它构成了网络安全系统的重要组成部分,将可信网络与不可信网络(如 Internet)分开。它不仅可以保护您的服务器和客户端免受来自 Internet 的攻击,还可以防止非特权用户访问您的关键任务系统。
在给出防火墙定义之后,我们来简短地总结一下它的演变。
包过滤器是第一代网络防火墙,用于检查计算机之间发送的数据包。这一代防火墙可以通过网络上的源和目标 IP 地址、协议、源和目标端口过滤数据包。
第二代防火墙,也称为有状态的防火墙,不仅过滤数据包,还通过记住两个 IP 地址在 OSI 模型的第 4 层(传输层)用于连接的端口号来跟踪端点之间的特定通信。因此,这些防火墙允许检查节点之间的整体交换。
下一代防火墙提供应用程序/第7层过滤,应用层过滤的主要优点是它可以检测某些应用程序和协议。该功能允许下一代防火墙检测是否正在利用允许的协议,或者使用非标准端口识别不需要的应用程序或服务。下一代防火墙的主要特点如下。
- 标准防火墙功能,例如状态检查。
- 网页/内容过滤
- 应用程序感知和控制,以查看和阻止恶意应用程序。
- 集成入侵检测和防御。
- 威胁情报来源。
- 具有应对不断变化的网络威胁的方法。
如今,黑客使用入侵、病毒、间谍软件、蠕虫、木马、广告软件、键盘记录程序和恶意移动代码 (MMC) 等高级方法来攻目标。因此,数据包过滤不足以防止这些出现的网络威胁,使用下一代防火墙对于网络环境中的每个组织甚至家庭用户来说都是必要的。
开源防火墙最重要的功能是通过过滤入站和出站流量来保护网络免受威胁并确保网络安全。如今,具有应用层过滤能力的开源防火墙被广泛部署在家庭、教育、初创和小型工业网络中。
在本文中,我们将介绍一些可以提高您的网络安全性并深入涵盖以下主题的最佳开源防火墙:
- 开源防火墙定义
- 五大开源防火墙
- OPNsense
- IPFire
- Untangle NG
- pfSense
- Iptables
开源防火墙定义
开源这个词最初与应该可以公开访问的开源软件 (OSS) 相关。任何人都可以检查、更改和共享开源代码。当个人或组织在其原始应用程序上使用开源许可证时,他们必须同意以下条款:
- 公开软件的全部源代码
- 允许任何人更改、增强或重新设计软件代码
- 允许创作衍生作品
- 允许将应用程序用于用户希望的任何目的
开源许可证使开发人员可以相互分享他们的知识。整个开源社区都受益于集体创新。互联网的基本功能基于开源技术。大量的 Internet 应用程序也是开源的。大型互联网公司喜欢Facebook甚至Google允许开源社区访问他们的一些私人想法。
如果没有开源许可证,我们今天认为理所当然的许多技术就不会发展起来,或者会被专利法锁定。开源运动对过去几十年技术的快速发展做出了巨大的贡献。开源软件的主要优点如下:
- 降低成本:因为开源许可提供免费代码;当您使用开源防火墙时,您支付的费用是支持、安全强化和互操作性管理帮助。
- 开放式协作:由于开源社区非常活跃且非常有帮助,可以找到超越单个利益集团或公司的帮助、资源和观点。
- 可靠性:专有代码依赖于单个作者或公司来保持更新、修补和运行。因为开源代码由活跃的开源社区不断更新,所以它比原作者的寿命更长。开放标准和同行评审确保开放源代码得到彻底和频繁的测试。
- 灵活性:由于其强调修改,开源代码可用于解决您的企业或社区特有的问题。您没有义务以任何特定方式使用代码,在实施新解决方案时,您可以依靠社区协助和同行评审。
- 活跃:由于源代码免费提供,开源社区非常活跃,开发者积极检查和改进开源代码。将其视为活代码,而不是停滞不前的封闭代码。
- 透明度:您可以自己检查和跟踪开源代码的更改,而不是依赖供应商的承诺。
- 不依赖供应商:您可以随身携带开源代码,随时随地使用它。
开源防火墙也具有上述开源软件的所有优点。开源防火墙是在开源许可下开发和分发的防火墙。它通过过滤入站和出站流量来保护网络免受威胁,保护网络安全。
开源防火墙有多种可以选择,可以根据自己的专业水平、要保护的基础设施的规模、易用性等进行选择。本文介绍目前反映最好的开源防火墙。你可以在任何硬件、虚拟平台或云上轻松部署这些防火墙。
五大开源防火墙
开源操作系统,如Linux、 、FreeBSD,OpenBSD内置了大量的网络和安全功能。它们是开发安全产品的天然平台,大多数商业防火墙都建立在这些平台之上。
下面列出的一些开源防火墙具有与昂贵的商业防火墙解决方案相媲美的特性和功能。
OPNsenseIPFireUntanglepfSenseIPtables
1、OPNsense
OPNsense是一个基于 FreeBSD 的开源防火墙,它与 32 位或 64 位系统架构兼容,网站提供了 ISO 映像和 USB 安装程序下载。它提供了多种语言的GUI,例如法语、意大利语、俄语、中文(由本博主负责维护)、日语等。OPNSense 具有许多企业级别的安全性和防火墙功能,例如2FA、Netflow、Proxy、Webfilter、QoS、IPSec、VPN等。它还使用内联入侵防御系统来检测和防止网络入侵。另一个重要功能是它可以提供每周的安全更新。
图 1. 带有 Zenarmor (Sensei) 插件的 OPNsense Web GUI
OPNsense 是一个开源、易于构建和易于使用的基于 HardenedBSD 的防火墙和路由平台。OPNsense 项目由荷兰的一家公司Deciso创立,为 OPNsense 防火墙制造硬件并销售支持包。OPNsense 始于 2014 年 pfSense® 软件和 m0n0wall 的一个分支,并于 2015 年 1 月首次正式发布。同时,当 m0n0wall 于 2015 年 2 月退役时,其创建者 Manuel Kasper 将开发人员社区分配给 OPNsense。它继续建立了一个拥有数千名支持者的大型社区。
OPNsense 每周提供小幅安全更新,来及时响应新出现的威胁。它每年发布两个主要版本。
“我们的使命是让 OPNsense 成为使用最广泛的开源安全平台。我们为用户、开发者和企业提供一个友好、稳定和透明的环境。项目名称来源于 open and sense,代表:“Open(source)。”—德西索
OPNsense 具有许多面向高级用户的功能。管理员可以使用 OPNSense 防火墙来配置网络流量监控、全网状 VPN 路由、WAN 负载平衡、HTTP 负载平衡等等。OPNsense 的功能集包括高端功能,例如正向缓存代理、流量整形、入侵检测和简单的 OpenVPN 客户端设置。
OPNsense 对安全性的强调产生了独特的功能,例如使用 LibreSSL 而不是 OpenSSL(可在 GUI 中选择)和基于 HardenedBSD 的自定义版本的能力。
OPNsense 可靠且强大的更新机制使其能够及时提供关键的安全更新。它还包括报告和分析功能。可以监控网络流量并优化网络性能。
OPNsense 最好的方面之一是它通过基于 Web 的界面公开其所有功能,该界面易于使用并支持多种语言。
OPNsense 防火墙的核心功能包括:
- 状态检测防火墙
- 入侵检测和预防
- 流量整形
- 支持黑名单的正向缓存代理(透明)
- 虚拟专用网络(WireGuard、ZeroTier、OpenVPN 和传统 PPTP、IPsec 支持)
- 高可用性和硬件故障转移(配置同步和同步状态表)
- 整个系统的双因素身份验证
- 强制门户
- 内置报告和监控工具,包括 RRD 图表
- Netflow 出口商
- 网络流量监控
- 插件支持
- DHCP 服务器和中继
- DNS 服务器和 DNS 转发器
- 动态 DNS
- 加密配置备份到Google云盘
- 对状态表的精细控制
- 802.1Q VLAN 支持
OPNsense 拥有丰富的插件集合,可帮助网络安全专业人员通过附加功能扩展防火墙的功能。这些插件有一些由 OPNsense 团队维护和支持,大多数则由社区维护和支持。
插件可以执行以下操作:
- 允许自定义启动、停止和使用脚本
- 允许修改 /boot/loader.conf
- 提供其他Web GUI主题
- 提供新的身份验证方法
- 向防火墙提供其他类型的设备和接口
- 修改访问控制列表、菜单和主题
- 添加其他服务器软件及其各自的GUI 页面
- 推送其他软件包的自动更新
- 通过额外的工作任务增强后端服务能力
OPNsense Web GUI 在固件页面中显示所有用于生产的插件,pkg 工具会显示所有可用的软件包(所有插件都命名为 os-pluginname)。
最重要和最有用的OPNsense 插件之一是Zenarmor,它提供应用程序控制和 Web 过滤来保护网络基础设施。
Zenarmor 是一款全软件即时防火墙,几乎可以部署在任何地方。对于开源防火墙,Zenarmor 提供了下一代防火墙功能,这些功能目前在 OPNsense 等产品中不可用。如果您想使用开源防火墙并需要应用程序控制、网络分析和 TLS 检查等功能,Zenarmor 提供了这些功能等等。
由于 Zenarmor 具有无设备、一体化、全软件、轻量级和简单的架构,因此可以立即部署到任何具有网络访问权限的平台上。可以在虚拟机或裸机、promise 或任何云平台上安装 Zenarmor。
Zenarmor 完全集成到 OPNsense Web 用户界面中,将 OPNsense 升级为下一代防火墙。
Zenarmor 基于 Sunny Valley Networks 开发的最先进的安全技术。它是一个非常轻量级但功能强大的数据包检测核心,可以提供多种企业级网络安全功能。Zenarmor 的特点如下:
- 应用程序控制
- 云应用控制(Web 2.0 控制)
- 网页过滤和安全
- 高级网络分析
- 基于实时云威胁情报的拦截
- 云集中管理和报告
- 加密威胁防护
- 基于用户的过滤和报告
- 活动目录集成
- 基于策略的过滤和 QoS
- 基于应用程序/Web 类别的流量整形和优先级划分
关于Zenarmor 功能的详细信息,可以查看官方产品文档。
2、IPFire
图 2. IPFire的Web GUI
IPFire是一个易于使用的开源状态防火墙,依托Netfilter建立,受到全球数千家公司的信赖。它的设计考虑了很多模块化,非常灵活。它具有很大的定制灵活性。不仅可以将其用作防火墙,还可以用作代理服务器或 VPN 网关,具体取决于您的配置。它的另一个重要功能是内置 IDS 来检测攻击。此外,它的Guardian插件提供了实现自动预防的功能。
IPFire 最初是 IPCop 的一个分支,从第 2 版开始在 Linux From Scratch 的基础上完全重写。它允许安装附加组件以添加服务器服务,可以将其扩展为 SOHO 服务器。
它可以在各种硬件上部署 IPFire,包括 ARM 设备,例如Raspberry Pi。
IPFire 最显着的优势之一是它的模块化结构,它可以完全按照你的需要运行它。包管理器使配置所有功能和更新变得简单。IPFire 可以适应任何现有的安全架构。
IPFire 的主要目标是安全。其易于配置的防火墙引擎和入侵检测系统可让黑客远离您的网络。为了管理网络内部的风险并针对网络各段的特定需求进行自定义配置,在默认配置中将网络划分为具有不同安全策略的多个区域。IPFire 配置的每个部分都按如下颜色编码。
- 绿色:可信区域。这是所有常规客户端计算机所在的位置。客户端可以不受限制地访问所有其他网段。
- 红色:不受信任的区域/Internet。除非管理员特别配置,否则不允许通过防火墙访问 Internet。
- 蓝色:本地网络的无线部分。必须明确允许该网段上的客户端才能访问网络
- 橙色:DMZ区域。任何可公开访问的服务器都与网络的其他部分隔离,以限制安全漏洞的范围。
定期更新确保了IPFire 免受安全漏洞和新的攻击方式的影响。
IPFire 采用基于 Netfilter(Linux 数据包过滤框架)的状态数据包检测 (SPI) 防火墙。它可以快速过滤数据包,最高达到每秒几十千兆的吞吐量。
IPFire 可以增强为包括一个虚拟专用网络 (VPN) 网关,该网关使用加密链接将远程网络和地点连接到本地网络。
IPFire 的入侵检测系统 (IDS) 分析网络流量来检测漏洞、泄露数据和其他可疑活动。当检测到攻击者时,会发出警报并立即阻止攻击者。
IPFire 可以在以下虚拟机管理程序上运行:
- KVM/Qemu
- Xen(半虚拟化和完全虚拟化模式)
- VMWare(工作站、vSphere、ESXi)
- 虚拟盒子
IPFire 有基于 Web 的管理界面。可以配置网络来满足特定要求,可以提供基本的防火墙保护或者是高级日志记录和图形报告。还可以通过附加组件来充实防火墙的其他功能,例如 Guardian。
IPFire 的主要功能包括:
- 入侵检测系统
- 局域网唤醒
- 网络代理
- IDS
- VPN
- Qos
- 各种协议的代理和中继
- URL过滤/内容过滤
- DNS 转发
- 网络代理
- VPN 网关、代理服务器或防火墙。
还可以通过软件包来增强 IPFire的其他功能,例如:
- 将流量路由到 Tor 网络或运行中继 (TOR)
- Nagios/NRPE 等监控服务
- Samba 文件服务器
- CUPS 打印服务器
- 邮件服务器系统,包括 Postfix、SpamAssassin、ClamAV、Amavis
- WIFI 接入点 (HostAPD)
- 流媒体服务器
- vsftpd ftp服务器
- Asterisk
- Asterisk
- TeamSpeak
- 视频磁盘录像机 (VDR)
3、Untangle NG
Untangle NG防火墙是一种Debian-based网络网关,包括用于网络安全应用程序的可插拔模块,例如入侵防御、Web 过滤、垃圾邮件过滤、防病毒、反间谍软件、VPN、防火墙等。
Untangle NG防火墙消除了网络安全的复杂性并节省了管理员的时间。在性能和保护、策略和生产力之间取得平衡。它提供了简单的部署和管理,并有基于Web的GUI管理界面。
图 3. Untangle NG仪表板和设备
它是一种功能强大、经济高效的网络安全解决方案。NG 防火墙具有各种软件模块,可根据个人需要启用或禁用。Untangle NG 的基本网络功能包含免费和付费应用程序,这些应用程序增加了额外的功能和能力,这些都可以通过Web的界面进行管理。
您可以轻松地在任何硬件或虚拟机上安装该防火墙系统,或者购买预装 NG Firewall 的设备。包括:
- 硬件设备:预装了 NG 防火墙的 Untangle 网络设备。
- 软件设备: NG Firewall 的可安装版本,适用于大多数基于 x86 的设备。
- 虚拟设备:针对私有云基础架构中的 VMware 部署进行了优化的虚拟设备。
- 云设备:可用于 Amazon Web Services 或 Microsoft Azure 的虚拟设备。
Untangle NG 最有价值的功能包括:
- 简单性:Untangle NG Firewall 通过提供适应不断变化的需求的单一模块化软件平台来简化网络安全。Untangle NG Firewall 具有基于浏览器、用户友好且响应迅速的界面,可以让你快速了解网络流量。它为任何规模的组织提供全面的企业级网络安全平台,从内容过滤到高级威胁防护、VPN 连接到基于应用程序的带宽优化整形。
- 全面的安全性:NG 防火墙通过主动防止恶意软件、黑客攻击、网络钓鱼计划和其他威胁到达客户端,在网关处提供全面的安全性。
- 仪表板:在仪表板上,可以一目了然地看到网络活动,确保符合完整的事件日志,并通过警报规则接收网络异常或异常用户行为的通知。
- 安全连接:它可以帮助您维护用户和数据的安全,无论位置或访问级别如何。
- Web 缓存: Web 缓存用于通过在本地缓存和提供静态元素来提高浏览性能,减少带宽并缩短页面加载时间。
- 带宽控制:带宽控制有助于跟踪和监控带宽使用情况。它有助于识别有问题的应用程序、网站和用户。
- 报告: Untangle Reports 是 Untangle 最新的功能之一。您可以添加自己的报告。报告为用户提供统计数据和网络活动。它生成有关应用程序、Web 使用情况、Web 过滤器和其他主题的报告。您可以通过电子邮件或传真发送个性化报告。
Untangle NG的其他功能还有:
- WireGuard VPN
- 威胁预防
- 网页过滤器
- SSL 检查员
- 在线支持
- 策略管理
- 品牌经理
- 广域网故障转移
- 广域网均衡负载
- IPsec VPN
- 应用程序控制
- 网页缓存
- 带宽控制
- 病毒拦截器
- 垃圾邮件拦截器
- 目录连接器
- 网络监视器
- 应用程序控制
- 病毒拦截器
- 网络钓鱼拦截
- 入侵防御
- 防火墙
- Open VPN
- 报告
- 垃圾邮件拦截器
- 强制门户
- 广告拦截器
- 隧道 VPN
4、 pfSense
pfSense® 软件是基于 FreeBSD 的防火墙/路由器计算机软件的发行版。pfSense 社区版 (CE) 是部分开源版本,而 pfSense Plus 现在是封闭源代码。pfSense® 软件是具有商业级功能的领先网络防火墙之一。
图 4. pfSense® 软件设备
Chris Buechler 和 Scott Ullrich 于 2004 年创建了 pfSense® 软件项目,作为 m0n0wall 项目的一个分支,第一个版本在2006 年发布。pfSense® 软件项目是 FreeBSD 的免费开源定制发行版,软件归 Rubicon Communications, LLC (Netgate) 所有,并在开源许可下分发。
它可以安装在物理计算机或虚拟机上,并通过基于 Web 的界面来配置和管理防火墙。
它已成功取代了市场上所有主要的商业防火墙,包括 Check Point、Cisco PIX、Cisco ASA、Juniper、Sonicwall、Netgear、Watchguard、Astaro 等。
pfSense® 软件带有一个 Web 界面,用于配置所有包含的组件。不需要任何 UNIX 知识,不需要使用命令行,也不需要手动编辑任何规则集。
由于历史悠久,pfSense拥有最广泛的文档和最大的用户社区,官方支持渠道以及网络上有非常多的教程和视频。官方还提供付费培训课程,来帮助用户充分部署和使用 pfSense。
pfSense® 功能包括:
- 防火墙
- 状态表
- 多WAN负载平衡。
- VPN
- 服务器负载均衡
- NAT
- HA(高可用性)
- 报告
- 监控
- 强制门户
- 动态 DNS
- DHCP和中继
- 禁用过滤
- 用户认证
- 内容过滤和代理过滤功能
- GeoIP 阻塞
- 反欺骗
还可以选择安装以下软件包。
- 服务:iperf、widentd、syslog-ng、bind、acme、imspector、git、dns-server
- 网络:netio、nut、Avahi
- 路由:frr、olsrd、routed、OpenBGPD
- 安全性:stunner、snort、tinc、nmap、arpwatch
- 监控:iftop、ntopng、softflowd、urlsnarf、darkstat、mailreport
还可以在 pfSense上安装 Zenarmor,以获得使用 Web 过滤和应用程序控制功能。
5、iptables
Iptables是最好的 Linux 应用程序开源防火墙,它使系统管理员能够配置和分析网络统计信息。它是一个基于终端的、有效的、可定制的防火墙软件,经验丰富的 Linux 管理员都在广泛使用。
图 5. iptables 列表输出
iptables 取代了 iptables ipchains,nftables是 iptables 的继任者。Nftables 允许更灵活、可扩展和性能更高的数据包分类。
当启用 iptables 的系统接收到一个数据包时,它会在其规则列表中搜索匹配项。如果找不到,它会退回到默认操作。
Iptables是一个用户空间实用工具,允许管理员配置 Linux 内核防火墙的 IP 数据包过滤规则,通过各种Netfilter模块来实施。Netfilter 是 Linux 上的防火墙框架,而 iptables 是管理和控制 Netfilter 的实用程序。iptables 可用于过滤传入和传出的网络数据包以及路由它们。过滤器组织在不同的表中,其中包含有关如何处理网络流量数据包的规则链。
目前,不同的内核模块和程序用于不同的协议:
- IPv4 的 iptables
- IPv6 的 ip6tables
- ARP 的 arptables
- 用于以太网帧的 ebtables。
1.chains : iptables中有5个chains,每个chain负责一个特定的任务
Input:用于管理传入的数据包/连接Output:创建/处理后的传出数据包。Forward:将传入的数据包从其源转发到目的地(路由)。Prerouting:数据包进入网络接口后。Postrouting:在做出路由决定之后,在数据包离开网络接口之前。
2. tables:表是服务于特定功能的链的集合。iptables 中有五种类型的表。
Filter负责过滤和限制进出计算机的数据包。Nat负责网络地址转换。Mangle表用于修改包头Raw处理原始数据包。这主要是为了跟踪连接状态。Security过滤表后负责保护您的计算机。其中包括SELinux.
3. targets:目标指定数据包的去向。这是使用 iptables 自己的目标来决定的:ACCEPT、DROP、REJECT,或者它的扩展目标,目前是39,最流行的是DNAT、LOG、MASQUERADE、REJECT、SNAT、TRACE 和 TTL。
ACCEPT: 停止处理,让数据包流动。REJECT:通过提供反馈丢弃数据包。DROP:在当前链停止处理并丢弃数据包。LOG: 与 ACCEPT 类似,但是,它被记录到 /var/log/messages。
iptables 允许系统管理员定义包含用于处理数据包规则链的表。通过顺序遍历链中的规则来处理数据包。每个到达或离开计算机的网络数据包都至少要经过一个链。在每个链上分析传入的数据包,并根据一组规则进行测试。如果匹配规则,则设置目标。
iptables防火墙的特点包括:
- 具有允许内容列表的数据包过滤规则集
- 采用包头检查方法,使防火墙速度极快。
- 可编辑的数据包过滤规则集使管理员能够添加、修改或删除防火墙配置的规则
- 列出/归零包过滤规则集的每条规则计数器
- 它可以与防火墙的功能一起用于数据文件的备份和恢复。
iptables 不是下一代防火墙并且没有应用层/L7过滤功能,但可以安装使用Zenarmor来扩展功能。
原文地址
